난스(nonce), 랜덤 생성 토큰

난스(nonce)는 SOAP 메시지에서 사용되는 사용자 이름 토큰의 도난을 방지하기 위해 사용되는 랜덤하게 생성되는 암호화 토큰입니다. Nonce는 기본 인증 (BasicAuth) 메소드와 함께 사용됩니다.

Nonce가 없으면, UsernameToken이 하나의 시스템에서 HTTP와 같은 비보안 전송을 사용하는 다른 시스템으로 전달될 때, 재생 공격에서 토큰을 가로채거나 사용할 수 있습니다. 동일한 키가 클라이언트와 서버 사이에서 전송되는 경우에 재사용될 수도 있으며 이 경우 공격에 취약해질 수 있습니다. 사용자 이름 토큰은 XML 디지털 서명과 XML 암호화를 사용하는 경우에도 훔칠 수 있습니다.

이러한 반복 공격을 제거하기 위해 < wsse: usernameToken> 요소 내에서 < wsse :Nonce > 및 < wsu :CGenerated > 요소가 생성되고 메시지의 유효성을 검증하는 데 사용됩니다. 요청 수신자 및 응답 수신자는 메시지가 작성될 때와 지정한 기간 내에 있는 현재 시간 사이의 차이점을 확인하기 위해 메시지의 신선함을 확인합니다. 또한 WebSphere® Application Server 는 수신자가 지정된 기간 내에 토큰을 처리하지 않았는지 확인합니다. 이러한 두 기능은 사용자 이름 토큰이 재생 공격에 사용될 가능성을 줄이기 위해 사용됩니다.